справочник 28 февраля 2027 По состоянию на 28 февраля 2027

Процедура оформления запроса субъекта в письменном виде

Запрос субъекта персональных данных — это обращение физического лица к оператору с требованием предоставить информацию об обработке его ПДн, уточнить, заблокировать или уничтожить данные, а также отозвать ранее выданное согласие.

Оператор обязан ответить в течение 10 рабочих дней с даты получения запроса (ст. 20 ФЗ-152). Невыполнение требования субъекта влечёт штраф до 90 000 ₽ по ч. 5 ст. 13.11 КоАП, а повторное нарушение — уже до 500 000 ₽ по ч. 5.1.

→ Если вы юрист и проверяете внутренний порядок обработки обращений субъектов — этот справочник даёт полную нормативную базу и алгоритм проверки.

С 2025 года Роскомнадзор использует запросы субъектов как индикатор риска при проверках: компании, которые не отвечают вовремя или отвечают формально, попадают в план внеплановых проверок. Ниже — определения ключевых понятий, нормы и процедура оформления запроса субъекта в письменном виде шаг за шагом.

Какие понятия закрепляет ст. 3 ФЗ-152 и зачем они важны юристу?

Персональные данные — любая информация, прямо или косвенно относящаяся к определённому или определяемому физическому лицу (субъекту ПДн). Под это определение подпадают ФИО, телефон, email, IP-адрес, геолокация и даже поведенческие паттерны, если они позволяют идентифицировать человека. Ст. 3 ФЗ-152 закрепляет понятийный аппарат всего закона.

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, которое организует и осуществляет обработку ПДн, а также определяет цели и содержание обработки. Важно: оператором становится любая компания, собирающая данные сотрудников или клиентов, даже если она никогда не подавала уведомление в РКН.

Субъект персональных данных — физическое лицо, которому принадлежат обрабатываемые ПДн. Субъект вправе направить оператору запрос в любой момент: при действующих отношениях, после их прекращения и независимо от того, давал ли он согласие на обработку.

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Бездействие не является обработкой, но хранение — является.

«Ст. 3 ФЗ-152 — понятийный аппарат: ПДн, оператор, обработка, субъект, трансграничная передача, обезличивание, блокирование, уничтожение ПДн.»

Какие права субъекта порождают обязанность оператора реагировать?

Право на доступ к своим ПДн закреплено в ст. 14 ФЗ-152. Субъект вправе потребовать от оператора подтверждение факта обработки, перечень обрабатываемых данных, правовое основание, цели, сроки, сведения о передаче третьим лицам. Оператор обязан предоставить ответ в течение 10 рабочих дней (ст. 20 ФЗ-152).

Право на уточнение ПДн — субъект вправе требовать исправления неточных, неполных или устаревших данных. Оператор обязан внести уточнения в течение 7 рабочих дней с момента получения подтверждающих документов.

Право на блокирование и уничтожение ПДн — субъект вправе потребовать прекратить обработку, если данные получены незаконно, обрабатываются в нарушение закона или утратили актуальность. Оператор выполняет требование в течение 10 рабочих дней (ст. 21 ФЗ-152).

Право на отзыв согласия закреплено в ч. 2 ст. 9 ФЗ-152. После отзыва оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если иное не установлено законом или договором. Отзыв не имеет обратной силы — он не отменяет законность обработки до момента отзыва.

Субъект прислал запрос — как ответить в срок и без нарушений?

Если в компанию поступил письменный запрос от физического лица — у оператора 10 рабочих дней на ответ по ст. 20 ФЗ-152. Ошибка в форме ответа или пропуск срока фиксируется РКН как нарушение ч. 4–5 ст. 13.11 КоАП. Юристы DATUM возьмут функцию ответственного по ст. 22.1 на абонентское обслуживание: ответы на запросы субъектов, ведение журнала, подготовка шаблонов.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как правильно оформить запрос субъекта в письменном виде?

Письменный запрос субъекта не имеет обязательной законодательной формы — ФЗ-152 устанавливает содержательные требования, а не шаблон. Оператор вправе разработать собственную форму и разместить её на сайте, но не вправе отказать в приёме произвольного письменного обращения.

Обязательные реквизиты запроса субъекта:

Фамилия, имя, отчество субъекта — для идентификации.
Номер основного документа, удостоверяющего личность, — паспортные данные (серия, номер) либо реквизиты иного документа.
Сведения о дате выдачи и выдавшем органе указанного документа.
Сведения, подтверждающие участие субъекта в отношениях с оператором, либо сведения, подтверждающие факт обработки его ПДн оператором.
Подпись субъекта или его представителя (при представительстве — реквизиты доверенности).
Суть требования: предоставить перечень ПДн / уточнить / заблокировать / уничтожить / отозвать согласие.

Требование подтвердить отношения с оператором (последний пункт) направлено против злоупотреблений: третьи лица не могут получить чужие ПДн через формальный запрос. Оператор вправе запросить дополнительные сведения для идентификации, но не вправе отказать в обработке запроса только потому, что субъект не использовал «фирменный бланк».

«Ст. 14 ФЗ-152 — право субъекта на доступ к своим ПДн и перечень сведений, которые оператор обязан предоставить; ст. 20 ФЗ-152 — срок ответа 10 рабочих дней, возможность продления на 5 рабочих дней с уведомлением субъекта.»

Что подготовить для обработки запросов субъектов

Утверждённый шаблон формы запроса субъекта — разместить на сайте и в офисе.
Журнал учёта входящих обращений субъектов с фиксацией даты получения и срока ответа.
Шаблоны ответов по каждому типу требования: доступ, уточнение, блокирование, уничтожение, отзыв согласия.
Приказ о назначении лица, ответственного за организацию обработки ПДн (ст. 22.1 ФЗ-152), с указанием полномочий по обработке обращений.
Регламент действий при получении запроса с указанием исполнителей и сроков внутреннего согласования.

Какие сроки установлены для ответа на запрос и что происходит при нарушении?

Оператор обязан предоставить субъекту ответ в течение 10 рабочих дней с даты получения запроса. Если в течение этого срока провести полную проверку невозможно, оператор вправе продлить срок ещё на 5 рабочих дней — но обязан уведомить субъекта о продлении до истечения первоначального срока (ст. 20 ФЗ-152).

При невыполнении требования субъекта об уточнении, блокировании или уничтожении ПДн в установленные сроки наступает ответственность по ч. 5 ст. 13.11 КоАП — штраф для юридического лица от 50 000 до 90 000 ₽. Повторное нарушение квалифицируется по ч. 5.1 той же статьи — штраф от 300 000 до 500 000 ₽.

Невыполнение обязанности по предоставлению субъекту информации об обработке его ПДн (когда оператор не ответил на запрос о составе обрабатываемых данных) — отдельный состав по ч. 4 ст. 13.11 КоАП, штраф от 40 000 до 80 000 ₽.

Если в компании нет журнала учёта обращений субъектов или шаблонов ответов — РКН расценивает это как системное нарушение ст. 18.1 ФЗ-152. Аудит ОРД выявит пробелы до проверки, а не во время неё.

Заказать аудит 152-ФЗ

Как применяются нормы на практике

Кейс 1. Торговая сеть (Центральный ФО, осень 2025) не ответила на письменный запрос покупателя об уничтожении его ПДн в течение 10 рабочих дней. Субъект подал жалобу в РКН. По итогам проверки оператор получил штраф по ч. 5 ст. 13.11 КоАП — в диапазоне 50 000–90 000 ₽. Отсутствие журнала учёта обращений дополнительно зафиксировано как нарушение ст. 18.1 ФЗ-152 с предписанием об устранении. Компания обратилась к юристам для выстраивания регламента ответов и ведения журнала.

Кейс 2. IT-компания (Северо-Западный ФО, начало 2026) получила от бывшего сотрудника письменный запрос на доступ к его ПДн и отзыв согласия. Ответственный по ст. 22.1 зафиксировал запрос в журнале, направил ответ в течение 8 рабочих дней с перечнем обрабатываемых данных и уведомил о начале процедуры уничтожения. РКН, проверив жалобу сотрудника, нарушений не выявил. Ключевую роль сыграл журнал с отметкой о дате получения запроса.

Услуги DATUM по теме

DPO-аутсорсинг — ведение обращений субъектов, журнал, шаблоны ответов на абонентском обслуживании.
Аудит соответствия 152-ФЗ — проверка ОРД и процедур по чек-листу из 38 пунктов.
Комплект ОРД под ключ — шаблоны форм запросов, журналы, регламенты обработки обращений.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработкой считается любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Даже хранение данных на сервере без активного использования является обработкой и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 устанавливает 11 правовых оснований обработки. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение оператором обязанностей по российскому законодательству (п. 2). Согласие — единственное основание, требующее отдельного документа с обязательными реквизитами по ст. 9 ФЗ-152 в редакции с 01.09.2025.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП (в редакции с 30.05.2025) — от 30 000 ₽ (ч. 3, отсутствие политики) до оборотного штрафа по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽ при повторной утечке. За нарушение прав субъекта — ч. 4 (до 80 000 ₽) и ч. 5 (до 90 000 ₽). Уголовная ответственность по ст. 272.1 УК РФ (действует с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если только компания не подпадает под исключения ч. 2 ст. 22 ФЗ-152. К исключениям относятся: обработка ПДн исключительно в рамках трудового законодательства, обработка данных членов некоммерческой организации без передачи третьим лицам и ряд других. Большинство компаний, работающих с клиентскими данными, обязаны подать уведомление через pd.rkn.gov.ru. Неподача — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽.

5. С какого возраста нужно согласие на ПДн?

По общему правилу согласие оформляется с 18 лет. Для лиц от 14 до 18 лет — требуется согласие самого подростка, а в случаях, прямо предусмотренных законом, также согласие родителей или законных представителей. Обработка ПДн детей до 14 лет допускается только с согласия родителей или законных представителей. Специальные правила для образовательных организаций и медицины устанавливаются отраслевыми нормами.

Итог

Запрос субъекта персональных данных — стандартный правовой инструмент, но ненастроенная процедура ответа превращает его в инструмент жалоб и проверок. Оператор, у которого нет журнала учёта обращений, регламента ответов и актуальных шаблонов, системно нарушает ст. 18.1, ст. 20, ст. 21 ФЗ-152.

DATUM сопровождает операторов ПДн в выстраивании процедур работы с обращениями субъектов: от шаблонов форм до DPO-аутсорсинга по ст. 22.1 ФЗ-152.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

28 февраля 2027 года